domingo, 25 de marzo de 2012

Privacidad de los datos. Más que un aspecto de cumplimiento

Introducción 
En un mundo cada vez más interconectado, de información instantánea y servicios en la nube; la sobrecarga de la información y la pérdida de privacidad son amenazas que ya no pueden pasar desapercibidas. En este contexto, el concepto de privacidad y las tensiones naturales con las exigencias corporativas son elementos que requieren analizarse, para reconocer los límites y balances que deben existir para mantener una coexistencia que permita por un lado, asegurar un adecuado manejo de la información y por otro, mantener y fortalecer un cuidado estricto sobre la información personal. 

Revisando algunos estudios internacionales (ERNEST AND YOUNG 2012) se establece que la administración de la privacidad en las organizaciones se encuentra influenciada al menos por tres elementos claves: el fraude, la economía y las regulaciones. 

El fraude, el cual generalmente es materializado a través de múltiples individuos o eventos, con acceso a información personal con propósitos criminales, políticos o de monitoreo, es una tendencia que revela la fragilidad interna de las empresas frente a los estándares de ética, los valores personales y la cultura corporativa. 

De otra parte, la economía, como aspecto complementario al anterior, propone un ambiente de incertidumbre, de inestabilidad, que confronta la seguridad financiera y valores personales atentando contra el balance natural de las necesidades humanas, es otro detonador que revela la necesidad de acceso a información para mantener el seguimiento de los hábitos financieros de los individuos. 

Finalmente, las regulaciones, que como menciona el estudio, es un ejercicio de nunca terminar, demanda un esfuerzo importante por parte de las empresas, para mantener un ambiente de control conocido y confiable, que permita generar la confianza requerida tanto para la empresa en su relación con los inversionistas, como para los individuos en el contexto del manejo de sus datos. 

Así las cosas y como quiera que esta realidad de la privacidad y la seguridad de la información de las personas, es un reto propio de una sociedad de la información y el conocimiento, se hace imperioso encontrar referentes, experiencias y buenas prácticas que nos permitan abordar y sintonizar las garantías constitucionales de los ciudadanos, con las posibilidades y necesidades de los estados para potenciar sus capacidades de seguridad y control.  

Privacidad de los datos 
Entrar en los terrenos de la privacidad es reconocer los derechos y deberes que los ciudadanos tienen respecto de la información personal. En este sentido el NIST – National Institute of Standard and Technology (2010) define la información de identificación personal (PII – Personal Identifiable Information) como “(…) cualquier información acerca de un individuo gestionada por una agencia, incluyendo (1) cualquier información que pueda ser usada para distinguir o seguir la identidad de un individuo, como puede ser su nombre, número de seguro social, fecha y lugar de nacimiento, apellido de la madre o registros biométricos; y (2) cualquier otra información que vincule o asocie a un individuo, como puede ser información médica, educacional, financiera y laboral.” 

Esta definición establece con claridad la exigencia que cualquier empresa tiene con el manejo y uso de la información, frente a las garantías constitucionales que cada ciudadano tiene con respecto a su información. Esto, es que cada organización deber atender no sólo atender las exigencias regulatorias que existen respecto de la información personal, sino desarrollar los mecanismos y estrategias que permitan su adecuada administración, lo que generalmente incluye aspectos como su recolección, uso, procesamiento, almacenamiento y revelación. 

Si bien, en el mundo existen diferentes iniciativas relacionadas con la protección de los datos personales, es claro que las organizaciones y los estados están recientemente tomando atenta nota de estas consideraciones. El estudio de tendencias en privacidad realizado por una empresa de consultoría internacional (ERNEST AND YOUNG 2012), establece que el 73% de las empresas entienden claramente las regulaciones relativas a la privacidad y sus impactos a nivel corporativo, sin embargo, sólo un 30% tiene implementados mecanismos reales que permitan monitorear y mantener los controles relacionados con la privacidad de los datos. 

Ante el escenario jurídico colombiano la Corte Constitucional ha venido consolidando jurisprudencia sobre el tema por más de 10 años, lo cual establece el desarrollo de un derecho fundamental denominado hábeas data. Dicho derecho, es un reconocimiento de la autodeterminación informática de las personas, cuyo eje fundamental está asociado con el conocer, rectificar y actualizar la información del titular en cualquier medio o condición que se encuentre la misma. 

 Como quiera que la privacidad es un derecho fundamental y que su protección depende de un ejercicio razonable de prácticas de seguridad y control que permita su adecuado tratamiento, se hace necesario identificar todos aquellos sitios o fuentes donde se pueda tener información de carácter personal, para establecer el marco general de cumplimiento requerido que asegure el compromiso de la gerencia frente a esta realidad.  

Ciclo de vida de la seguridad y la privacidad 
Para ello, SHAW propone un ciclo de vida para la privacidad y la seguridad de la información, como una forma de establecer un tenor concreto de las responsabilidades, exigencias y cumplimiento que las organizaciones deben considerar cuando de atender las obligaciones, riesgos y tratamiento de la información se requiere, no sólo para verificar que se consideran las regulaciones del caso, sino para comprender que tanto la seguridad como la privacidad son disciplinas complementarias, que hacen de su aplicación una forma de elevar la confianza de los grupos de interés frente a sus intereses empresariales. 

El ciclo propuesto establece cinco pasos:  
1. Identificar y revisar los estatutos y regulaciones aplicables a la organización 
Este primer paso demanda que las organizaciones cuenten con un observatorio permanente de regulaciones y leyes de cada una de las regiones o sectores donde opera la empresa, de tal forma que desarrolle un diagnóstico concreto sobre las condiciones actuales de su cumplimiento frente a las prácticas corporativas respecto del tema.  

2. Identificar y analizar las fuentes potenciales de responsabilidad Esta fase pretende que la organización establezca un análisis exhaustivo de activos de información existente, que permita determinar el alcance de las responsabilidades y el ejercicio de controles requerido por la empresa. Esta identificación pasa por el análisis de hardware, software, aplicaciones (ambientes de pruebas, calidad y producción), redes y facilidades que las empresas utilizan para la transmisión de datos, propietarios y custodios de información.  
3. Aplicación de políticas y valoraciones de riesgos Por un lado esta etapa busca revelar las políticas de seguridad y control de la organización y cómo estas son aplicadas y verificadas en el contexto del inventario de activos de información previamente identificado. De igual forma, este marco de actuación frente a la protección de la información debe contar con un tono claro de la gerencia, que imprima la relevancia del tema en las agendas estratégicas de los ejecutivos de primer nivel, así como en la cultura de sus empleados. Así mismo, las valoraciones de riesgo deben mantener una vista integrada del nivel de exposición de la organización frente a eventos de falla parcial o total, con el fin de mantener una postura proactiva frente a las amenazas y vulnerabilidades que puedan afectar el modelo de generación de valor del negocio.  

4. Diseño, aplicación y validación de los controles de seguridad y privacidad de la información Una vez identificados los riesgos y sus impactos sobre los activos de información relevantes para la empresa, se hace necesario identificar o diseñar las medidas de mitigación de los mismos y asegurar la efectividad de éstas. En particular, se cuentan con listas de controles generalmente aceptados en documentos como: 
* NIST Special publication 800-53. Recommended security controls for Federal Information Systems and Organizations 
* ISO 27002 
* COBIT de ISACA. 
En particular en esta etapa se requiere una especial coordinación entre los objetivos de los controles que se seleccionen de tal forma que se ajusten tanto a las necesidades de privacidad como a las de seguridad, de tal forma que el mínimo de controles que se apliquen, ofrezcan una vista estandarizada, confiable y verificable del ambiente de control requerido para los datos claves de la empresa.  

5. Asegurar el cumplimiento, los procesos de auditoría y certificación Una vez implementados el conjunto mínimo de controles y su uso en la operación diaria de la empresa, éstos deben ser monitoreados y verificados frente a los objetivos de seguridad y privacidad de la empresa, así como de los requisitos legales de cumplimiento normativo nacional o internacional. Para ello, esta fase exige un seguimiento y reporte periódico de monitoreo interno de la efectividad de los controles, sin perjuicio de evaluaciones y auditoría externas que se planteen por parte de entes de supervisión y vigilancia para conocer el estado de modelo de seguridad, control y privacidad de la organización. 

Si las organizaciones toman este ciclo y lo incorporan como un ejercicio sistemático propio y relevante para los objetivos de negocio de la empresa, habrá menos sorpresas en el futuro inmediato frente a incidentes que afecten la reputación y los planes estratégicos de la empresa, generando un ambiente propicio para consolidar relaciones de confianza con inversionistas y terceros interesados que confirmen como anota GAFF y SMEDINGHOFF (2012), que “la seguridad de la información ya no es solamente una buena práctica de negocio, sino un requerimiento legal”.  

Reflexiones finales 
Cuando desarrollamos modelos de seguridad de la información en las organizaciones, la identificación de activos de información se adelanta alrededor de aquellos objetos claves de negocio, con el fin de entender la generación de valor de la empresa y cómo protegerla; que por lo general no toma en consideración elementos propios de las obligaciones legales propias de la información, sólo aquellas que le son pertinentes para sus relaciones con socios de negocio. 

En este sentido, cuando hablemos de seguridad de la información o privacidad, no debe existir una separación de prácticas en el tratamiento de la información, sino el reconocimiento de una vista convergente entre derechos y principios de protección, que buscan establecer un referente natural de confesión de deberes y derechos de los individuos frente a la recolección, uso, retención, transferencia y disposición final de la información. Esto es, construir un marco general de controles mínimos que permitan darle tranquilidad a la gerencia frente a los requisitos de cumplimiento legal y normativo, así como de disponer de mecanismos de verificación que permitan que los individuos puedan hacer uso efectivo de sus derechos constitucionales. 

Como quiera que el reto de la privacidad en nuestra sociedad actual requiere un entendimiento mucho más elaborado del que actualmente tenemos, es preciso continuar incorporando dentro de los ordenamientos jurídicos los aspectos técnicos requeridos para darle un sentido efectivo a los derechos fundamentales que cada persona tiene frente a la información y de igual forma, nutrir las prácticas de seguridad de la información con los componentes constitucionales para repensar la protección de la información más allá de los aspectos de cumplimiento, sino en el contexto del perfeccionamiento del estado social y democrático de derecho. 

Referencias
ERNEST AND YOUNG (2012) Privacy trends 2012. The case for growing accountability. Insights on IT Risk. January. Disponible en: http://www.ey.com/Publication/vwLUAssets/Privacy_trends_2012/$FILE/Privacy-trends-2012_AU1064.pdf (Consultado: 24-03-2012)
GAFF, B. y SMEDINGHOFF, T. (2012) Privacy and data security. IEEE Computer. March.
SHAW, T. (2011) Information security and privacy. A practical guide for global executives, lawyers and technologists. American Bar Association. ABA Section of Science and Technology. 
NIST (2010) Guide to protecting the confidentiality of Personally Identifiable Information. April. Disponible en: http://csrc.nist.gov/publications/nistpubs/800-122/sp800-122.pdf (Consultado: 24-03-2012).

1 comentario:

  1. Interesante como el Ciclo de Shaw puede llegar a complementarse con el desarrollo de un modelo de seguridad que se quiera aplicar en una organización. Excelente articulo.

    ResponderEliminar